[Postfixbuch-users] spammer direkt blocken

Thomas Krieger postfixusers at home.tom-krieger.de
Mo Mai 29 10:18:49 CEST 2006


Am Montag, 29. Mai 2006 10:07 schrieb Sandy Drobic:
> Ralf Petry wrote:
> > Am Montag, den 29.05.2006, 08:54 +0200 schrieb Matthias Haegele:
> >> Ralf Petry schrieb:
> >>> hy,
> >>> ich habe immer mal wieder einen spammer (bei jedem überfall ein
> >>> anderer), der einzelne postfächer zumüllt. gibt es nicht eine
> >>> möglichkeit, den direkt abzuschmettern?
> >>> es laufen postfix, amavisd-new und spamassassin.
> >>> danke für hilfreiche hinweise im voraus.
> >>
> >> Hmm. Wenn du eindeutige Merkmale hast die den Spammer identifizieren, ja
> >> (z.B. regex die auf die Nachricht zutrifft etc.).
> >> Dazu müssten wir aber schon mehr wissen ...
> >
> > das ding läuft in unregelmässigen abständen überfallartig ab, es ist von
> > überfall zu überfall ein anderes mailkonto, das zugespammt wird und es
> > ist ein anderer absender (naja - wen wunderts).
> > diesmal ist in der from-zeile (im pine auf dem server, auf den ich
> > gerade konnektiert bin) zu lesen: UEAGEOMPKB at source-one.com
> > Mein Anliegen: genau diesen Absender angeben und Postfix sagen zu
> > können, dass es die Mail von dem Absender direkt in die Tonne schmeisst.
> > Ich weiss, dass man Spam nicht einfach löschen darf, aber meine User
> > stöhnen schon, wenn sie an einem Tag 600 solcher Mails erhalten.
> > schöne grüsse, und danke, ralf.
>
> Ralf, du musst schon etwas detaillierter nachschauen. (^-^)
> Kommen die Mails alle vom gleichen Client, dnyamische ip/statische ip, mit
> gleichem Absender, nur innerhalb einer kurzen Zeitspanne/verteilt über
> einen größeren Zeitraum?
> Mit welchem HELO/EHLO melden die sich?
>
> Ziel sollte es auf jeden Fall sein, die Mails gar nicht erst anzunehmen,
> sondern direkt abzuweisen mit einer entsprechenden Restriktion.
>
> Eine Abwehr kann nur funktionieren, wenn du weisst, wo der Hebel
> anzusetzen ist. Know thy enemy!

Würde nicht schon folgendes reichen?

smtpd_sender_restrictions = hash:/etc/postfix/access

/etc/postfix/access:
UEAGEOMPKB at source-one.com           554 Your IP address was blocked because it 
was origin of spam. Please contact <your at email.tld> if you think this 
behaviour is not justified!


Ciao 

Thomas



Mehr Informationen über die Mailingliste Postfixbuch-users